VxRail üzerinde VCF: VCF Ortamında NSX-T Yerel Yönetici Sertifikasını Değiştirme

Arkaplan:

Aşağıda açıklandığı gibi farklı NSX-T sertifikası türleri vardır:
 

Sertifika Adı	Amaç	Değiştirilebilir	Varsayılan Geçerlilik
Tomcat	Bu, kullanıcı arayüzü veya API aracılığıyla ayrı NSX Manager düğümleriyle harici iletişim için kullanılan bir API sertifikasıdır.	Evet	825 günler
mp-küme	Bu, kullanıcı arabirimi veya API aracılığıyla küme VIP'sini kullanarak NSX Manager kümesiyle dış iletişim için kullanılan bir API sertifikasıdır.	Evet	825 günler
Yerel Yönetici	Bu, Federasyon için bir platform Asıl Kimlik sertifikasıdır. Federasyon kullanmıyorsanız, bu sertifika kullanılmaz.	Evet	825 günler

VCF çözümleri için:

Tomcat ve mp-cluster, vCenter'dan VMCA tarafından imzalanan CA sertifikalarıyla değiştirilir. mp-cluster ve Tomcat sertifikaları hâlâ mevcut olabilir ancak kullanılmıyordur.

VCF ile NSX-T Manager:

• Tomcat - Düğüm1 > kullanılmıyor
• mp-cluster - VIP > kullanılmıyor

Kurulum sırasında aşağıdakiyle değiştirilir:

• CA - Düğüm1
• CA - VIP

Sertifikanın kullanılıp kullanılmadığını denetlemek istiyorsanız Postman platformunda aşağıdaki API'yi çalıştırın:

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Yerel yönetici sertifikası, Federasyondaki diğer sitelerle iletişim kurmak için kullanılan Asıl Kimlik sertifikasıdır.

NSX-T Federasyon ortamı, bir aktif ve bir beklemedeki Genel Yönetici kümesi ile bir veya daha fazla Yerel Yönetici kümesi içerir.
 

Local Manager Cluster'larının sayısını belirleme:

Ortamı kontrol etmek ve kaç tane Yerel Yönetici Kümesi olduğunu öğrenmek için aşağıdaki adımları ve ekran görüntüsünü izleyin:

Sistem>Yapılandırması>Konum Yöneticisinden:

• Yerel Yöneticinin üst kısmında, hangi kümede oturum açtığınız gösterilir. Bu örnekte, bir Local Manager kümesinde oturum açtık.
• Sayfanın ortasında, Genel Yönetici Kümeleri ve hangi kümenin Etkin, hangilerinin Beklemede olduğu gösterilir.
• Diğer Yerel Yönetici Kümeleri, Uzak Siteler'in altında alt kısımda görülür.

Yerel yönetici kendinden imzalı sertifikaları değiştirme prosedürü:

1. Yerel yönetici kümesinde NSX yöneticisinde oturum açın.
2. Devam etmeden önce bir NSX-T yedeği alın. Bu adım önemlidir!
   1. Sistem>Yaşam Döngüsü Yönetimi>Yedekleme ve Geri Yükleme>Yedeklemeyi Başlat

3. Sertifikaları ve son kullanma tarihini kontrol edin.
   1. Sistem>Ayarları>Sertifikalar a tıklayın

Kümede bulunan NSX Yöneticisi sayısından bağımsız olarak Yerel Yönetici kümesi başına bir sertifika vardır.

1. Yerel Yönetici kümesi 1'deki herhangi bir NSX Yöneticisinde oturum açın.
2. Yeni bir CSR oluşturun.
   1. Sistem>Ayarları>Sertifikalar>CSR'ler CSR Oluştur'a> tıklayın

2. Common Name değerini local-manager olarak girin.
3. Adı LocalManager olarak girin.
4. Gerisi kullanıcının işletme ve konum bilgileridir (Bu, süresi dolan eski bir sertifikadan kopyalanabilir.)
5. Save (Kaydet) öğesine tıklayın.

3. Oluşturulan CSR'yi kullanarak Kendinden İmzalı Sertifika oluşturun.
   1. CSR için CSR>Kendinden İmzalı Sertifika Oluştur Yeni CSR onay kutusunu > işaretleyin.

2. Hizmet Sertifikasının Hayır olarak ayarlandığından emin olun ve Kaydet'e tıklayın.
3. Certificates sekmesine dönün, Yeni Sertifikayı bulun ve Sertifika Kimliğini Kopyalayın.

4. Yerel Müdürün Asıl Kimlik sertifikasını değiştirin.
   1. Postman platformunu yüklemek için kullanıcı.
   2. Yetkilendirme sekmesinde Temel Kimlik DoğrulamaYazın'ı> seçin.
   3. NSX-T Yöneticisi oturum açma ayrıntılarını girin.

4. Headers sekmesinde "application/xml" ifadesini "application/json" olarak değiştirin.

5. Gövde sekmesinde, POST API yapılandırmalısınız.
   1. Ham ve ardından JSON öğesini seçin.
   2. POST seçeneğinin yanındaki kutuya URL yi girin https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
   3. Yukarıdaki URL, belirli bir Yerel Yönetici Kümesi içindeki herhangi bir NSX yöneticisi için kullanılan IP'dir.
   4. Gövde bölümünde, ekran görüntüsünde görüldüğü gibi aşağıdakileri iki satırda girin:

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. Gönder'e tıklayın ve sonucu 200 Tamam olarak gördüğünüzden emin olun.

5. Her bir Yerel Yönetici Kümesi 2 ve 3'te 1. ila 4. Adımları tekrarlayın.

Bu adımlar tamamlandıktan sonra, her Yerel Yönetici Kümesinde bir yeni sertifika oluşturdunuz ve her Yerel Yönetici Kümesinde Asıl Kimlik Sertifikasını değiştirdiniz.

Şimdi, süresi dolmak üzere olan eski sertifikaları üç Yerel Yönetici Kümesinin her birinden silme zamanı gelmiştir.

1. Sertifikanın artık kullanımda olup olmadığını kontrol edin.
   1. Sertifika Kimliğini Kopyala
   2. Postacıyı aç
   3. POST yerine GET API'yi seçin.
   4. URL girin https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
   5. used_by" ifadesini bulun ve içinde boş parantez olduğunu doğrulayın.

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. Sistem >Ayarları >Sertifikalar bölümüne gidin ve gerekli sertifikayı seçin.

3. Delete>Delete ögesine tıklayın.

4. Ana Kimliğin çalıştığını ve yeni sertifikaları kullandığını doğrulayın:
   1. Postacıyı aç
   2. GET'i seçin.
   3. URL'yi çalıştır https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
   4. Çıktı aşağıdakine benzer olmalıdır. "certificate_id" yeni oluşturulan sertifika kimliğini göstermelidir.

Genel yönetici sertifikalarını değiştirme:

Genel Müdür Sertifikasını değiştirmek için aynı işlemi izleyin ancak "LOCAL_MANAGER" öğesini "GLOBAL_MANAGER" olarak değiştirin ve prosedürü Genel Yönetici Kümesinden gerçekleştirin.

İlgili diğer makaleler:

Daha fazla bilgi için ilgili Broadcom VMware makalelerine bakın:

• Sertifika Türleri 
• Genel Müdür ve Yerel Müdürleri Yapılandırma
• Sürüm 3.2'de sertifikaları değiştirme  
• Sürüm 3.1'de sertifikaları değiştirme
• Sertifika İmzalama İsteği Dosyası Oluşturma 
• Asıl Kimlik kullanıcısı tarafından kullanılan NSX-t-superuser-certificate sertifikasını yenileme

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ... View More View Less